Munkás évet zártak az IT-védelmi fronton dolgozók – írta a Biztonságportál. Az lap összegyűjtötte az év legnagyobb, legérdekesebb és legtanulságosabb adatvédelmi incidenseit. Az egyik fontos tanulság, hogy a támadók gyakran szemtelenül egyszerű módszerekkel jutottak át a védelmi vonalakon, ráadásul úgy, hogy több esetben csak hosszú idő után derült fény a támadásra és az adatlopásra.

A dicstelen ranglista öt éllovasa

1. eBay. Az online aukciós portál rendszerét február-március fordulóján érte súlyos támadás. Az támadók néhány alkalmazott lopott bejelentkezési adatával szereztek hozzáférést a felhasználói adatbázishoz. A támadás során neveket, e-mail címeket, lakcímeket, telefonszámokat, születési dátumokat, titkosított jelszavakat szereztek meg. A támadás súlyát jelzi, hogy az eBay mind a 145 millió felhasználóját arra kérte, hogy mihamarabb változtassa meg a jelszavát.

2. JPMorgan Chase. A JPMorgan Chase, amely az Egyesült Államok egyik – ha nem a – legnagyobb bankja, októberben ismerte el, hogy egy kibertámadás következtében bizalmas adatok kerültek ki a rendszeréből. A bank rendszerét ért kibertámadás során 76 millió háztartás és 7 millió kisvállalkozás adatai szivárogtak ki: leginkább címek, telefonszámok és e-mail címek. A támadók azonban vélhetőleg a pénzintézet egyes belső adatbázisaihoz, illetve dokumentumaihoz is hozzáfértek. A támadás során egy olyan szerveren keresztül jutottak be a szervezet informatikai infrastruktúrájába, amelynél a bank nem tartotta fontosnak a kétfaktoros hitelesítés alkalmazását, így végül 90 szerverhez fértek hozzá a bűnözők.

3. Home Depot. Az áruházláncnál történt adatlopás jól példázza azt, amikor egy szervezet nem tanul mások hibájából. A tavaly nyáron bekövetkezett incidens ugyanis kísértetiesen hasonlított a Targetet sújtó, 2013-as támadáshoz. A Home Depot rendszereiből 56 millió bank-, illetve hitelkártyaszám került illetéktelen kezekbe az 53 millió e-mail cím mellett. Az eddigi vizsgálatok szerint a támadók egy külső partnertől loptak el hitelesítő adatokat, amikkel aztán hozzáfértek a Home Depot rendszeréhez. Egy windowsos sérülékenység kihasználásával megemelték a jogosultsági szintjüket, és egy egyedi kártékony programot kezdtek terjeszteni az amerikai és a kanadai üzleteket átszövő hálózatban.

4. Community Health Systems. Az egészségügyi rendszerek sem maradtak ki. A több mint 30 ezer kórházi ágy fenntartásáért felelős amerikai Community Health Systems tavaly 4,5 millió beteg adatát vesztette el. A rendszerei ellen indított egyik támadás során társadalombiztosítási számok, nevek, címek stb. kerültek illetéktelen kezekbe. Ennél a támadásnál az elkövetők az OpenSSL nagy port kavart Heartbleed sérülékenységét is kihasználták, amelyhez a hibajavítások már a támadás előtt megjelentek, de azok valamiért nem kerültek fel az érintett rendszerre. Vagyis a patch-menedzsment hiányossága miatt kellett elkönyvelni a károkat.

5. Staples. Az irodai termékek forgalmazásával foglalkozó Staples amerikai rendszere is térdre kényszerült egy októberi incidens során. A támadók 115 üzletben fertőztek meg POS terminálokat, és azokon keresztül 1,16 millió bank- és hitelkártyaszámot zsákmányoltak.

Más kárán tanul az okos

A incidensek egyik fontos tanulsága, hogy több támadás is kivédhető lett volna, ha az adott szervezet megfelelően kivitelezett többfaktoros hitelesítést alkalmaz. És nem csak az alkalmazottaknál (lásd JPMorgan Chase), hanem az ügyfeleknél is. Emellett a biztonsági frissítések elmaradása is sok problémát okozott (Community Health Systems).

A Hytrust elnöke, Eric Chiu a toplistás támadások két fontos jellegzetességre hívta fel a figyelmet: egyrészt, hogy ezeket a sikeres adatlopásokat külső támadók követték el, másrészt, hogy ezek nem rövid idő alatt zajlottak le. Mint fogalmazott: a támadók huzamosabb ideig tudták fenntartani a jelenlétüket a rendszerekben, és így sikerült nagy mennyiségű adatot szerezniük.

És a tanulság? A Hytrust elnöke szerint a határvédelemre épülő biztonsági megoldásokra épülő paradigmák fölött eljárt az idő. Minden pillanatban azt kell feltételezni, hogy a támadók már bent vannak a hálózatainkban, és e szemlélet mentén kell kell kiépíteni a védelmi architektúrát.